Kontrak koleksi digital NBA memiliki kerentanan keamanan yang serius
Baru-baru ini, NBA meluncurkan serangkaian koleksi digital yang menarik perhatian luas. Namun, beberapa ahli keamanan menemukan celah besar yang mengejutkan saat meninjau kontrak penjualannya. Celah ini dapat memungkinkan pengguna jahat untuk mencetak koleksi tanpa biaya dan mendapatkan keuntungan yang tidak semestinya melalui penjualannya.
Inti masalahnya adalah bahwa mekanisme verifikasi tanda tangan pengguna daftar putih dalam kontrak memiliki celah. Kontrak tidak menerapkan dua langkah keamanan kunci: memastikan tanda tangan daftar putih hanya dapat digunakan oleh pengguna tertentu, dan setiap tanda tangan hanya dapat digunakan sekali. Ini berarti penyerang dapat menggunakan kembali tanda tangan pengguna daftar putih lainnya untuk mencetak koleksi.
Dari kode kontrak yang dipublikasikan, terlihat jelas bahwa fungsi verify saat melakukan verifikasi tanda tangan, tidak memasukkan alamat pengirim ke dalam konten tanda tangan. Selain itu, kontrak juga tidak menetapkan mekanisme untuk mencegah tanda tangan yang sama digunakan berulang kali. Langkah-langkah keamanan ini seharusnya menjadi pengetahuan dasar dalam pengembangan perangkat lunak, namun diabaikan dalam proyek yang sangat diperhatikan ini.
Para ahli di industri ini mengungkapkan keterkejutannya dan kekhawatirannya. Mereka menunjukkan bahwa tingkat kerentanan keamanan seperti ini muncul dalam proyek yang begitu ternama adalah sesuatu yang sulit dipercaya. Ini tidak hanya mengungkapkan kelalaian pihak proyek dalam pengembangan dan audit kontrak pintar, tetapi juga menekankan bahwa seluruh industri masih memiliki jalan panjang dalam praktik keamanan.
Peristiwa ini sekali lagi mengingatkan kita bahwa bahkan lembaga terbesar dan paling dipercaya pun dapat melakukan kesalahan mendasar ketika terlibat dalam bidang teknologi baru. Bagi para peserta pasar koleksi digital, ini adalah peringatan: sebelum terlibat dalam proyek apa pun, sangat penting untuk melakukan evaluasi menyeluruh terhadap dasar teknologinya dan langkah-langkah keamanannya.
Seiring dengan terus berkembangnya pasar koleksi digital, masalah keamanan serupa mungkin akan semakin banyak terungkap. Ini tidak hanya mengharuskan pihak proyek untuk lebih waspada dan memperkuat audit keamanan, tetapi juga menyerukan seluruh industri untuk membangun standar keamanan yang lebih tinggi dan praktik terbaik. Hanya dengan cara ini, kita dapat benar-benar melindungi kepentingan pengguna dan mendorong perkembangan sehat pasar koleksi digital.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
20 Suka
Hadiah
20
6
Bagikan
Komentar
0/400
gas_fee_therapy
· 07-21 20:57
Celaka yang sangat buruk
Lihat AsliBalas0
YieldWhisperer
· 07-21 02:13
melihat eksploitasi yang persis ini pada tahun 2021... keamanan yang kurang profesional sejujurnya
Lihat AsliBalas0
Ramen_Until_Rich
· 07-20 22:08
Kontrak bodoh ini masih berani diluncurkan
Lihat AsliBalas0
Layer2Arbitrageur
· 07-18 23:21
lmao bayangkan tidak memvalidasi sig dengan benar di 2024... ngmi
Kontrak koleksi digital NBA mengungkapkan celah besar, pengguna jahat mungkin dapat mencetak secara gratis untuk mendapatkan keuntungan.
Kontrak koleksi digital NBA memiliki kerentanan keamanan yang serius
Baru-baru ini, NBA meluncurkan serangkaian koleksi digital yang menarik perhatian luas. Namun, beberapa ahli keamanan menemukan celah besar yang mengejutkan saat meninjau kontrak penjualannya. Celah ini dapat memungkinkan pengguna jahat untuk mencetak koleksi tanpa biaya dan mendapatkan keuntungan yang tidak semestinya melalui penjualannya.
Inti masalahnya adalah bahwa mekanisme verifikasi tanda tangan pengguna daftar putih dalam kontrak memiliki celah. Kontrak tidak menerapkan dua langkah keamanan kunci: memastikan tanda tangan daftar putih hanya dapat digunakan oleh pengguna tertentu, dan setiap tanda tangan hanya dapat digunakan sekali. Ini berarti penyerang dapat menggunakan kembali tanda tangan pengguna daftar putih lainnya untuk mencetak koleksi.
Dari kode kontrak yang dipublikasikan, terlihat jelas bahwa fungsi verify saat melakukan verifikasi tanda tangan, tidak memasukkan alamat pengirim ke dalam konten tanda tangan. Selain itu, kontrak juga tidak menetapkan mekanisme untuk mencegah tanda tangan yang sama digunakan berulang kali. Langkah-langkah keamanan ini seharusnya menjadi pengetahuan dasar dalam pengembangan perangkat lunak, namun diabaikan dalam proyek yang sangat diperhatikan ini.
Para ahli di industri ini mengungkapkan keterkejutannya dan kekhawatirannya. Mereka menunjukkan bahwa tingkat kerentanan keamanan seperti ini muncul dalam proyek yang begitu ternama adalah sesuatu yang sulit dipercaya. Ini tidak hanya mengungkapkan kelalaian pihak proyek dalam pengembangan dan audit kontrak pintar, tetapi juga menekankan bahwa seluruh industri masih memiliki jalan panjang dalam praktik keamanan.
Peristiwa ini sekali lagi mengingatkan kita bahwa bahkan lembaga terbesar dan paling dipercaya pun dapat melakukan kesalahan mendasar ketika terlibat dalam bidang teknologi baru. Bagi para peserta pasar koleksi digital, ini adalah peringatan: sebelum terlibat dalam proyek apa pun, sangat penting untuk melakukan evaluasi menyeluruh terhadap dasar teknologinya dan langkah-langkah keamanannya.
Seiring dengan terus berkembangnya pasar koleksi digital, masalah keamanan serupa mungkin akan semakin banyak terungkap. Ini tidak hanya mengharuskan pihak proyek untuk lebih waspada dan memperkuat audit keamanan, tetapi juga menyerukan seluruh industri untuk membangun standar keamanan yang lebih tinggi dan praktik terbaik. Hanya dengan cara ini, kita dapat benar-benar melindungi kepentingan pengguna dan mendorong perkembangan sehat pasar koleksi digital.